14.04.2015

Oracle Identity Management

Oracle Identity Manager, как часть Oracle Fusion Middleware, обеспечивает унифицированную и интегрированную платформу безопасности, разработанную для управления идентификационными данными пользователей и обеспечения их средствами безопасного доступа к корпоративным ресурсам, предоставления надежного делового сотрудничества в интерактивном режиме, поддержки и оптимизации ИТ и обеспечения соответствия требованиям законодательства и внутренних политик организации. Решение предоставляет средства защиты информационных систем высоко уровня, позволяет избежать фрагментарности хранилищ учетных данных, средств управления и контроля.

Что такое Identity Management?

Identity Management (IDM) - это система управления учетными записями (персональными данными). Права распределяются на основе кадровых изменений (должностной доступ) и через веб-портал самообслуживания (индивидуальный доступ).

Учетные записи пользователя и их атрибуты (например, группы доступа) - это такая же часть персональной информации, как и почтовые адреса, имена и должности. Потому, логично включать в рамки процесса IDM и управление доступом к информационным системам (Access Management).

Где хранятся персональные данные?

В первую очередь, в кадровой системе. Кроме того, в каталоге Active Directory, в карточках пользователей прикладных систем, в данных почтовых программ, в системах управления клиентами, в биллинговых системах, в системах сервис-деск и так далее. Зачастую, эта информация не согласована. Один и тот же человек может быть прописан во множестве систем одновременно, к тому же, не везде он может быть прописан одинаково и корректно.

Для чего нужен Oracle Identity Management?

Oracle Identity Management позволяет привести в единый общий каталог актуальные и корректные персональные данные пользователей, интегрировать каталог с инфраструктурой компании. Таким образом, компоненты решения позволяют компаниям управлять полным жизненным циклом персональных данных пользователя на ресурсах компании, как внутри периметра защиты, так вне его, независимо от того, какие приложения используются в организации.

Одна из основных задач OIM – создание и управление единым и актуальным каталогом персональной информации. По сути, это решение является конструктором-платформой с возможностью кастомизации под реальные бизнес-процессы. Функционал Oracle Identity Manager позволяет, в том числе, управлять «гранулированными правами», настраивать типовой доступ и т.д. Такой конструктор состоит из набора компонентов, которые могут работать как независимо друг от друга так и как интегрированный набор сервисов.

Oracle Identity Management предлагает множество важных функций - возможность создания и обработки массовых заявок, наличие исторической отчётности, гибкую систему разграничения прав, доставку и согласование учетных данных, контроль доступа к веб-приложениям и веб-сервисам, выявление мошенничеств, управление рисками и аутентификации, аудит и отчеты.

Кроме того, продукт предлагает адаптивную систему согласования заявок: они проходят согласование либо целиком, либо по каждой роли отдельно. В первом случае, если пользователю запросили десять ролей, каждому владельцу роли придёт на согласование вся заявка целиком. Во втором- заявка «распадётся» на отдельные роли, и владельцы, которые отвечают за запрошенные роли, получат заявки отдельно по каждой роли.

Продукт имеет очень высокую степень гибкости, особенно в части изменения пользовательского интерфейса, самостоятельной разработки коннекторов к нестандартным системам (например, можно настроить согласование заявки из письма), но при этом требует высокого уровня квалификации персонала. И, хотя, интерфейс продукта достаточно понятный, часто компании хотят дорабатывать его под себя. Здесь оказываются полезными широкие возможности настройки. Кроме того, решение включает коннекторы к распространенным приложениям, и обеспечивает работу решения в разнородных средах.

Функционал решения

Управление правами		Управление заявками		Отчетность		Инструменты конфигурирования
Контроль изменений в системе, выполненных в обход IdM Контроль рисков прав доступа пользователей Разграничение областей видимости прав/ролей (кто и что может запрашивать) Разграничение видимости форм интерфейса и их полей Ручной ввод данных о сотрудниках в IdM Управление сервисными учетными записями Согласование ролей Ролевое управление доступом Поддержка иерархии ролей Разграничение доступа к функциям IdM (настройка функциональных ролей) Контроль SoD-конфликтов Аттестация (пересмотр прав доступа) Динамическое вычисление значений полей в формах интерфейса Сброс пароля по контрольным вопросам		Согласование заявок Массовое согласование заявок Делегирование полномочий по согласованию заявок на период отпуска Уведомления по электронной почте Назначение заявок на исполнение вручную Запрос нескольким сотрудникам нескольких ролей в одной заявке Создание заявок на предоставление дополнительных прав Запрос прав по преднастроенному шаблону заявки		Построение отчётов Отчетность о состоянии прав на конкретную дату Гистограммы и графики в отчета		Добавление собственных сущностей и форм Изменение формы карточки сотрудника Изменение формы заявки Индивидуальная компоновка интерфейса

Oracle Identity Management ориентирован на обслуживание потребностей приложений. Его использование позволяет заказчикам отделить бизнес-логику от безопасности и управления ресурсами, и, таки образом, повысить скорость разработки и уменьшить стоимость сопровождения. Производитель может предложить полный стек программно-аппаратных решений, что снижает ТСО и упрощает поддержку.

Oracle Identity Governance и Oracle Access Manager могут использоваться в качестве средств информационной защиты систем высокого уровня. Обеспечивать экстернизацию (замену) сервисов безопасности, обычно встроенных в приложения, которые используем заказчик. Таким образом, удается избежать фрагментарности хранилищ учетных данных , средств управления и контроля.

Где работает OIM?

Крупный банк в Украине успешно провел внедрение Oracle IDM для централизации управления учетными данными. При помощи web-коннекторов OIM был интегрирован с HR системой в головном офисе. Таким образом, система работает с актуальной информацией, на основании которой распределяются права доступа к информационным системам банка. Кроме того была реализована возможность пользователей самостоятельно управлять паролями и синхронизацией с AD.

Лицензирование

Продукт лицензируется по количеству целевых систем, с которыми необходимо взаимодействовать. Независимо от того, будет заказчик использовать готовый коннектор, или планирует разрабатывать его под себя, на коннектор также требуется лицензия. В зависимости от количества пользователей можно выбирать один из двух продуктов для оптимального лицензирования.

Права продаж

Продавать Oracle Identity Manager могут все партнеры со статусом Gold и Platinum. Для распространения продукта реселлеру следует подтвердить права продаж (платные экзамены не требуются). Подтверждение прав продаж продуктов предоставляет партнеру возможность регистрировать проекты.

Следует также упомянуть, что IDМ нельзя назвать «отраслевым» решением. Необходимость регулирования права доступа актуальна для любой организации. В завершение хотим отметить, что опыт использования решения в мире и в Украине большой. Текущие задачи, которые желают решить заказчики при помощи Oracle Identity Management, свидетельствует о востребованности решения на рынке Украины.